醫(yī)療行業(yè)運(yùn)維審計(jì)方案

《醫(yī)療行業(yè)運(yùn)維審計(jì)方案》由會(huì)員分享，可在線閱讀，更多相關(guān)《醫(yī)療行業(yè)運(yùn)維審計(jì)方案（15頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),*,運(yùn)維安全審計(jì)系統(tǒng)（,HAC,）,醫(yī)療行業(yè),方案建議,廣州江南科友科技股份有限公司,概述,隨著醫(yī)院信息化建設(shè)的快速發(fā)展，醫(yī)院行業(yè)的日常正逐步從原有的紙質(zhì)記錄轉(zhuǎn)向信息化數(shù)字化記錄。伴隨著醫(yī)院信息化建設(shè)的開(kāi)展，醫(yī)院行業(yè)信息系統(tǒng)的建設(shè)逐步趨于復(fù)雜，配合醫(yī)療信息數(shù)字化信息化的建設(shè)，需要醫(yī)院信息管理系統(tǒng)的建設(shè)。,同時(shí)為了保障信息的完整性、可用性、機(jī)密性，但是對(duì)于系統(tǒng)內(nèi)眾多的網(wǎng)絡(luò)系統(tǒng)運(yùn)維人員、第三方系統(tǒng)運(yùn)維人員以及設(shè)備廠商維護(hù)人員卻缺乏有效的管理與監(jiān)控，一旦出現(xiàn)惡意操作或誤操作，將會(huì)對(duì)業(yè)務(wù)系統(tǒng)帶來(lái)巨大影響，造成不可估量的

2、嚴(yán)重后果。特別是對(duì),HIS,這些核心業(yè)務(wù)系統(tǒng)的影響將更為巨大，直接導(dǎo)致為企業(yè)帶來(lái)經(jīng)濟(jì)損失，而且嚴(yán)重的也會(huì)造成極為負(fù)面的社會(huì)影響。,醫(yī)療行業(yè)系統(tǒng)運(yùn)維現(xiàn)狀,伴隨著醫(yī)院數(shù)字信息化逐步完善，支撐醫(yī)院正常運(yùn)營(yíng)的業(yè)務(wù)系統(tǒng)更加復(fù)雜，作為前端系統(tǒng)的維護(hù)人員需要付出大量的工作以保證前端系統(tǒng)的穩(wěn)定運(yùn)行，同時(shí)還需要來(lái)自系統(tǒng)建設(shè)方以及開(kāi)發(fā)方的有效的技術(shù)支持，因?yàn)榭陀^存在著大量技術(shù)人員能夠接觸到最為核心的前端系統(tǒng)；因此醫(yī)患信息、醫(yī)院采購(gòu)信息、電子處方、醫(yī)療設(shè)備管理信息等敏感信息在系統(tǒng)安全運(yùn)維方面必須予以重視。,醫(yī)療行業(yè)系統(tǒng)運(yùn)維現(xiàn)有的問(wèn)題,IT,系統(tǒng)口令管理,多入口操作現(xiàn)象,交叉運(yùn)維操作現(xiàn)象,越權(quán)和違規(guī)操作,無(wú)詳細(xì)操作記

3、錄,無(wú)法滿(mǎn)足合規(guī)性檢查,沒(méi)有運(yùn)維安全分析報(bào)告,沒(méi)有完善的系統(tǒng)變更管理體系,醫(yī)療行業(yè)面臨的威脅,如果外來(lái)人員醫(yī)患信息、醫(yī)院采購(gòu)信息、電子處方放、醫(yī)療設(shè)備管理信息這些核心系統(tǒng)進(jìn)行修改，因缺乏有效監(jiān)管，一旦出現(xiàn)誤操作或惡意操作的情況，特別是目前數(shù)字處方收費(fèi)項(xiàng)目和類(lèi)型繁多，容易造成對(duì)企業(yè)收益造成損失；以及醫(yī)患的數(shù)字信息的泄露，容易對(duì)醫(yī)療患者帶來(lái)不必要的麻煩甚至經(jīng)濟(jì)類(lèi)的損失。類(lèi)似事件在深圳某醫(yī)院、移動(dòng)、電力均有大量情況出現(xiàn)，損失嚴(yán)重。,醫(yī)療患者的基本信息對(duì)于醫(yī)院自身來(lái)說(shuō)也是一種無(wú)形的資產(chǎn)，其他一些醫(yī)療保健銷(xiāo)售或者醫(yī)托一旦獲得了我們的客戶(hù)清單，便可以采用非常簡(jiǎn)單的手段和很少的精力去傾銷(xiāo)他們的產(chǎn)品，以及騙走

4、走我們的醫(yī)療患者，為醫(yī)院和醫(yī)療患者帶來(lái)直接或間接的經(jīng)濟(jì)損失，而系統(tǒng)的運(yùn)維人員要獲得這些信息非常方便，也很難被發(fā)現(xiàn)。,系統(tǒng)變更過(guò)程中一旦出現(xiàn)操作失誤或發(fā)生較大運(yùn)維事故造成信息系統(tǒng)無(wú)法運(yùn)行，可能會(huì)帶來(lái)很大影響，如無(wú)法收費(fèi)、網(wǎng)絡(luò)中斷、無(wú)法開(kāi)處方等，勢(shì)必會(huì)造成很壞的影響，因此必須有一套良好的機(jī)制能夠保證快速的故障恢復(fù)，因此在運(yùn)維變更前有一套相對(duì)完善的審批流程以及事后能夠?qū)\(yùn)維過(guò)程進(jìn)行審核與追查是非常必要的。,HAC,系統(tǒng)組成,系統(tǒng)部署圖,HAC,產(chǎn)品簡(jiǎn)介,HAC,目標(biāo)是為,IT,基礎(chǔ)架構(gòu)關(guān)鍵資源的運(yùn)維操作提供強(qiáng)有力的監(jiān)控、審計(jì)手段，切實(shí)滿(mǎn)足企業(yè)內(nèi)控管理的合規(guī)性要求。,HAC,著眼于解決關(guān)鍵,IT,基礎(chǔ)

5、設(shè)施運(yùn)維安全問(wèn)題。它能夠?qū)?Unix,和,Windows,服務(wù)器、網(wǎng)絡(luò)與安全設(shè)備上的數(shù)據(jù)訪問(wèn)進(jìn)行安全、有效的操作審計(jì)，支持實(shí)時(shí)監(jiān)控、實(shí)時(shí)告警和事后全程回放審計(jì)。,HAC,彌補(bǔ)了傳統(tǒng)審計(jì)系統(tǒng)的不足，將運(yùn)維審計(jì)由事件審計(jì)提升為內(nèi)容審計(jì)，集認(rèn)證、授權(quán)、管理、審計(jì)為一體，有效地實(shí)現(xiàn)了事前預(yù)防、事中控制和事后審計(jì)。,HAC,主要功能,完整的身份管理和認(rèn)證,支持靜態(tài)口令、動(dòng)態(tài)口令、證書(shū),KEY,等認(rèn)證方式；,支持密碼強(qiáng)度、密碼有效期、口令嘗試死鎖、用戶(hù)激活等安全管理功能；,靈活、細(xì)粒度的授權(quán),系統(tǒng)提供基于運(yùn)維時(shí)間段、會(huì)話時(shí)長(zhǎng)、運(yùn)維客戶(hù)端,IP,等組合的授權(quán)功能；,提供基于用戶(hù)（組）到資源（組）的授權(quán),后臺(tái)

6、資源自動(dòng)登陸,HAC,自動(dòng)獲取后臺(tái)資源帳戶(hù)信息并定期自動(dòng)修改帳戶(hù)口令；,實(shí)現(xiàn)運(yùn)維用戶(hù)與后臺(tái)資源帳戶(hù)對(duì)應(yīng)，限制帳戶(hù)的越權(quán)使用；,根據(jù)分配的帳戶(hù)實(shí)現(xiàn)自動(dòng)登錄后臺(tái)資源。,HAC,主要功能,實(shí)時(shí)監(jiān)控,監(jiān)控正在運(yùn)維的會(huì)話，信息包括運(yùn)維用戶(hù)、運(yùn)維客戶(hù)端地址、資源地址、協(xié)議、開(kāi)始時(shí)間等；,監(jiān)控后臺(tái)資源被訪問(wèn)情況；,提供在線運(yùn)維的操作的實(shí)時(shí)監(jiān)控功能,違規(guī)操作實(shí)時(shí)告警與阻斷,提供用戶(hù)可配置的告警規(guī)則，告警規(guī)則支持告警級(jí)別、告警分類(lèi)和與后臺(tái)資源綁定；,在具有自動(dòng)登錄功能的,HAC,上，可實(shí)現(xiàn)告警規(guī)則與后臺(tái)資源的帳戶(hù)級(jí)別進(jìn)行綁定，針對(duì)不同用戶(hù)實(shí)施不同的規(guī)則；,告警動(dòng)作支持會(huì)話阻斷、審計(jì)平臺(tái)告警和郵件告警等。,HAC

7、,主要功能,詳盡的會(huì)話審計(jì)與回放,針對(duì)命令交互方式的協(xié)議，提供逐條命令及相關(guān)操作結(jié)果的顯示；,提供圖像形式的回放，可快放、慢放、拖拉，方便快速定位和查看；,提供按命令進(jìn)行定位回放；針對(duì),RDP,協(xié)議，提供按時(shí)間進(jìn)行定位回放,完備的審計(jì)報(bào)表功能,提供日常報(bào)表，包括今日會(huì)話、今日自審計(jì)、用戶(hù)信息、資源信息、權(quán)限信息、規(guī)則信息、管理員角色信息等報(bào)表；,提供定制報(bào)表，包括會(huì)話報(bào)表、自審計(jì)操作報(bào)表、告警報(bào)表；,提供綜合統(tǒng)計(jì)報(bào)表，可根據(jù)時(shí)間、資源、用戶(hù)等條件形成綜合統(tǒng)計(jì)報(bào)表。,HAC,系統(tǒng)特點(diǎn),支持,Unix,和,Windows,平臺(tái)下運(yùn)維操作審計(jì),領(lǐng)先地解決了,SSH,、,RDP,等加密運(yùn)維協(xié)議的審計(jì)，

8、滿(mǎn)足用戶(hù)在,Unix,和,Windows,環(huán)境的運(yùn)維操作審計(jì)需求。,更嚴(yán)格的審計(jì)管理,系統(tǒng)集認(rèn)證、授權(quán)、管理和審計(jì)有機(jī)地集成為一體，有效地實(shí)現(xiàn)了事前預(yù)防、事中控制和事后審計(jì)。,分權(quán)管理機(jī)制,系統(tǒng)提供系統(tǒng)管理員、運(yùn)維管理員和審計(jì)員三種默認(rèn)管理角色，并支持靈活地配置更細(xì)的角色，從技術(shù)上保證系統(tǒng)管理安全。,HAC,系統(tǒng)特點(diǎn),部署靈活、操作方便,系統(tǒng)支持單臂、串接部署模式,支持基于,B/S,實(shí)現(xiàn)系統(tǒng)管理、配置,審計(jì)平臺(tái)提供了功能齊全、操作方便、展現(xiàn)良好的審計(jì)管理功能,完善的系統(tǒng)安全設(shè)計(jì),精簡(jiǎn)的內(nèi)核和優(yōu)化的,TCP/IP,協(xié)議棧,基于,HTTPS/SSL,的自身安全管理與審計(jì),嚴(yán)格的安全訪問(wèn)控制和管理員身份認(rèn)證支持強(qiáng)認(rèn)證,審計(jì)信息加密存儲(chǔ),完善的審計(jì)信息備份機(jī)制,支持雙機(jī)熱備,實(shí)現(xiàn)的價(jià)值,對(duì)服務(wù)器的密碼集中管理,對(duì)運(yùn)維人員的統(tǒng)一管理,保證運(yùn)維操作的終端唯一性,加強(qiáng)運(yùn)維人員對(duì)內(nèi)部運(yùn)維的管理,對(duì)第三方人員有效的監(jiān)管,視頻及文本回放功能把復(fù)雜的,IT,操作變成簡(jiǎn)單的形式予以表現(xiàn),一旦出現(xiàn)嚴(yán)重的安全事故，及時(shí)發(fā)現(xiàn)問(wèn)題，便于快速恢復(fù),實(shí)時(shí)監(jiān)控功能對(duì)于重要的運(yùn)維操作還能起到有效的事中監(jiān)管作用,